勒索軟體在不斷地變化發展,攻擊者會使用各種方式敲詐目標支付贖金,如今它不僅僅是加密數據,同時也會造成數據洩露。
許多公司組織堅信完善的反病毒保護方案可以防止被勒索軟體攻擊,但是勒索攻擊仍然一次又一次成功。大多是情況下,攻擊者會利用虛擬專用網中的一些已知漏洞,或者對暴露在網際網路中的主機進行攻擊,並不完全是利用惡意軟體直接進行攻擊。
Ragnar Locker
Ragnar Locker在2020年上半年開始攻擊大型組織,它具有很強的針對性,每一個樣本都是為目標組織量身定做的。如果受害者拒絕付款,他們的數據將被公布在網上。攻擊者聲稱,這筆錢是他們發現漏洞、為文件提供解密和為受害者提供OpSec培訓的獎勵。
根據拒絕付款的受害者名單,Ragnar Locker的主要目標是美國公司,行業類型各不相同。
Ragnar Locker 技術分析
研究人員選擇最近發現的惡意軟體樣本進行分析:1195d0d18be9362fb8dd9e1738404c9d
啟動時,Ragnar Locker會檢查計算機區域設置。如果是列出的某個國家區,它將停止操作並退出。
不在上述列表中的國家,它將繼續檢查一下字符串:
所有準備工作完成後,木馬程序將搜索本地磁碟並加密受害者的文件。
RagnarLocker使用基於Salsa20進行加密。 每個文件的密鑰和隨機數值也是唯一生成的,並通過木馬中硬編碼的2048位公共密鑰一起加密。
在加密文件後,Ragnar Locker會將加密的密鑰,隨機數和初始化常量添加到加密的文件中,並添加標記「!@#_®agna®_#@!」。
Egregor
Egregor勒索軟體於2020年9月被發現,經過初步分析,其與Sekhmet勒索軟體和Maze勒索軟體存在關聯。
Egregor勒索軟體通常會出現斷網的情況,惡意軟體樣本是一個DLL文件,需要使用命令行參數並給出的正確密碼來啟動。 Egregor是最激進的勒索軟體家族,如果72小時內不支付贖金,受害者的數據將會被公布。
Egregor技術分析
研究人員選擇最近發現的樣本進行分析:b21930306869a3cdb85ca0d073a738c5
惡意軟體只有在啟動過程中提供正確密碼才會生效。 此技術旨在阻礙沙盒自動分析以及研究人員的手動分析,沒有正確的密碼,就不可能解壓縮和分析有效載荷。
解壓運行惡意程序後,最終得到了一個混淆的二進位文件,該二進位文件仍然不適合靜態分析。 Egregor中使用的混淆技術與Maze、Sekhmet中的混淆技術非常相似。
有效負載開始執行時,它將檢查作業系統用戶語言,避免對安裝了以下語言的計算機進行加密:
終止以下進程:
Egregor使用基於流密碼ChaCha和非對稱密碼RSA的混合加密方案。
Egregor會生成一對唯一的會話密鑰對。 會話專用RSA密鑰由ChaCha導出並使用唯一生成的密鑰+隨機數加密,然後用主公共RSA密鑰加密該密鑰和隨機數。 結果保存在二進位文件中(在本例中為C:\ProgramData\dtb.dat),並在贖金記錄中保存為base64編碼的字符串。
Egregor處理的文件會生成一個新的256位ChaCha密鑰和64位隨機數,通過ChaCha加密文件內容,然後使用會話公共RSA密鑰加密秘鑰和隨機數,最後將它們與一些輔助信息一起保存。每個加密文件的最後16個字節由動態標記組成。
Egregor的地理覆蓋範圍比Ragnar Locker的更廣:
涉及諸多行業:
保護措施
【責任編輯:
趙寧寧TEL:(010)68476606】